| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
前へ |
次へ |
この章では、管理コンソールに対するシングル・サインオン(SSO)を構成する方法を説明します。章タイトルでの管理コンソールは次を指します。
Oracle Enterprise Manager Fusion Middleware Control
Oracle WebLogic Server管理コンソール
Oracle Access Managerコンソール
Oracle Identity Managerコンソール
Oracle APMコンソール
Oracle Adaptive Access Manager管理コンソール
この章の内容は次のとおりです。
この項では、管理コンソールをシングル・サインオンと統合する方法を説明します。Oracle Access ManagerとOracle Identity Managerを統合している場合は、その統合コマンドによりセキュリティ・プロバイダが作成されるため、この項の手順を実行する必要はありません。
この項の内容は次のとおりです。
|
注意: 管理コンソールに対するシングル・サインオンを有効にしたら、コンソール・アクセスを可能にするために、1つ以上のOracle Access Managerサーバーが稼働していることを確認してください。 後でOAAMがドメイン全体を保護できるようにする場合や、OAAMをOracle Identity Managerと統合する場合は、コンソール・アクセスを可能にするために、OAAMサーバーも稼働させる必要があります。 Oracle WebLogicコンソールを使用してすべてのOracle Access Manager管理対象サーバーを停止した場合は、コンソールを再び使用する前に、これらの管理対象サーバーのいずれかを手動で再起動してください。
DOMAIN_HOME/bin/startManagedWeblogic.sh WLS_OAM1 t3://ADMINVHN:7001
|
管理コンソールをシングル・サインオンと統合する前に、次のタスクが完了していることを確認してください。
第5章「Web層の構成」の説明に従ったOracle HTTP Serverの構成。
第12章「Oracle Access Manager 11gでのドメインの拡張」の説明に従ったOracle Access Managerの構成。
第11章「Oracle WebLogic Server用のユーザーとグループの作成」の説明に従った、LDAPでのWebLogic管理者のプロビジョニング。
この項では、ディレクトリ認証プロバイダを設定し、LDAPディレクトリでユーザーを使用して管理コンソールにアクセスできるようにします。
第19.1項「Oracle Identity ManagerとOracle Access Manager 11gの統合」で説明されているとおりにOracle Access ManagerとOracle Identity Managerを統合している場合は、これらの手順を実行する必要はありません。
http://admin.mycompany.com/consoleでWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「DefaultAuthenticator」をクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。
「保存」をクリックします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「新規」をクリックします。
Oracle Virtual Directoryを使用している場合は、次の情報を指定します。
Oracle Virtual Directoryの場合:
名前: OVDAuthenticator
タイプ: OracleVirtualDirectoryAuthenticator
Oracle Internet Directoryの場合:
名前: OIDAuthenticator
タイプ: OracleInternetDirectoryAuthenticator
「OK」をクリックします。
「OVDAuthenticator」または「OIDAuthenticator」をクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。
「保存」をクリックします。
「プロバイダ固有」タブを選択します。
次の情報を入力します。
ホスト: idstore.mycompany.com
ポート: 389
プリンシパル: cn=oamLDAP,cn=Users,dc=us,dc=oracle,dc=com
資格証明: oamLDAPパスワード
資格証明の確認: oamLDAPパスワード
ユーザー・ベースDN: cn=Users,dc=mycompany,dc=com
すべてのユーザーのフィルタ: (&(uid=*)(objectclass=person))
名前指定によるユーザー・フィルタ: (&(uid=%u)(objectclass=person))
ユーザー名属性: uid
グループ・ベースDN: cn=Groups,dc=mycompany,dc=com
GUID属性: orclguid
「保存」をクリックします。
「変更のアクティブ化」を「チェンジ・センター」でクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーとすべての管理対象サーバーを再起動します。
構成の検証
oamadminユーザーとしてOAMコンソールにログインすることによって、構成を検証します。
次の手順に従って、Oracle WebLogic管理コンソールを使用して追加の検証テストを実行できます。
http://admin.mycompany.com/consoleで、コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」を選択します。
myrealmをクリックします。
「ユーザーとグループ」タブをクリックします。
「ユーザー」をクリックします。
LDAPユーザーが表示されます。
この項では、Oracle Access Managerアサーション・プロバイダを設定し、資格証明コレクションの職責をOracle Access Managerに委任できるようにします。
第19.1項「Oracle Identity ManagerとOracle Access Manager 11gの統合」で説明されているとおりにOracle Access ManagerとOracle Identity Managerを統合している場合は、これらの手順を実行する必要はありません。
http://admin.mycompany.com/consoleでWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「新規」をクリックします。
次の情報を指定します。
名前: OAMIDAsserter
タイプ: OAMIdentityAsserter
「OK」をクリックします。
「OAMIdentityAsserter」をクリックします。
「制御フラグ」を「REQUIRED」に設定します。
「保存」をクリックします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「並替え」をクリックします。
右側の矢印を使用して、プロバイダを次の順序に並べ替えます。
OAMIDAsserter
デフォルトの認証プロバイダ
OIM署名認証プロバイダ(存在する場合)
OIMAuthenticationProvider(存在する場合)
OVDAuthenticatorまたはOIDAuthenticator
デフォルトのIDアサーション・プロバイダ
|
注意: Oracle Identity Managerプロバイダは、Oracle Identity Managerが構成されている場合にのみ存在します。 |
「OK」をクリックします。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーとすべての管理対象サーバーを再起動します。
企業では、すべてのユーザー、グループおよびロールがプロビジョニングされる中央のアイデンティティ管理ドメインと、複数のアプリケーション・ドメイン(SOAドメインやWebCenterドメインなど)を配置することが一般的です。これらのアプリケーション・ドメインは、中央のアイデンティティ管理ドメインを使用して認証するように構成されます。
第11.4.5項「Oracle WebLogic Server用のユーザーとグループの作成」では、weblogic_idmというユーザーを作成し、これをIDM管理者グループに割り当てました。このアカウントを使用してWebLogicを管理できるようにするには、IDM管理者グループをWebLogic管理グループのリストに追加する必要があります。この項では、IDM管理者グループをWebLogic管理者のリストに追加する方法を説明します。
WebLogic管理サーバー・コンソールにログインします。
コンソールの左側のペインで、「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページで、「レルム」表のmyrealmをクリックします。
myrealmの「設定」ページで、「ロールとポリシー」タブをクリックします。
「レルム・ロール」ページで、「ロール」表の「グローバル・ロール」エントリを開きます。これにより、ロールのエントリが表示されます。「ロール」リンクをクリックして、「グローバル・ロール」ページに移動します。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
「グローバル・ロールの編集」ページで、「ロール条件」表の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、述部のドロップダウン・リストから「グループ」を選択して、「次へ」をクリックします。
「引数の編集」ページで、グループ引数フィールドにIDM管理者を指定して、「追加」をクリックします。
「終了」をクリックして「グローバル・ロールの編集」ページに戻ります。
この時点で、「ロール条件」表には、IDM管理者グループというエントリが表示されています。
「保存」をクリックして、IDM Administrators Groupへの管理ロールの追加を終了します。
Webブラウザを使用してWebLogic管理サーバー・コンソールを起動して、これらの変更が正常に加えられたことを確認します。weblogic_idmユーザーの資格証明を使用してログインします。
管理サーバーと管理対象サーバー用のboot.propertiesファイルを、Oracle Internet Directory内に作成したWebLogic adminユーザーの情報によって更新する必要があります。次の手順に従って、boot.propertiesファイルを更新します。
IDMHOST1上の管理サーバーの場合
IDMHOST1上で、次のディレクトリに移動します。
ORACLE_BASE/admin/domainName/aserver/domainName/servers/serverName/security
次に例を示します。
cd ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain/servers/AdminServer/security
既存のboot.propertiesファイルを別の名前に変更します。
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリ内に作成します。次の行をこのファイルに入力します。
username=adminUserpassword=adminUserPassword
次に例を示します。
username=weblogic_idm
password=Password for weblogic_idm user
|
注意: 管理サーバーを起動すると、このファイル内のユーザー名とパスワードのエントリが暗号化されます。 セキュリティ上の理由で、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。このファイルを編集した後、できるだけ早くサーバーを起動して、これらのエントリを暗号化する必要があります。 |
サーバーの再起動
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーとすべての管理対象サーバーを再起動します。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、次のサーバーを再起動します。
OAMHOST1およびOAMHOST2上のOracle Access Managerサーバー
WEBHOST1およびWEBHOST2上のOracle HTTP Server
この項では、Webゲートのインストールと構成について説明します。このタスクはOIM11gとOAM10gの統合には必要ありません。
この項の内容は次のとおりです。
Oracle Web Gateをインストールする前に、次のタスクが完了していることを確認してください。
Oracle Web Gateでは、gccライブラリの特別なバージョンをインストールする必要があります(Linuxのみ)。これらのライブラリ・ファイルはLinuxシステム上のどこかに存在する必要があります。Webゲート・インストーラは、インストール時にこれらのライブラリ・ファイルの場所を尋ねてきます。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のサードパーティGCCライブラリのインストール(LinuxおよびSolarisオペレーティング・システムのみ)に関する項の説明に従ってhttp://gcc.gnu.orgからライブラリをダウンロードします。
Oracle WebGateをインストールする前に、管理対象サーバーWLS_OAM1およびWLS_OAM2が起動されていることを確認します。
次の各項の説明に従ってOracle WebGateをインストールします。
次のコマンドを発行して、Webゲートを起動します。
Oracle_Access_Managerversion_linux_OHS11g_WebGate -gui
次の手順を実行します。
Oracle Access Manager WebゲートのInstallShieldウィザードへようこそ画面で、次を実行します。
「次へ」をクリックします。
顧客情報画面で、Oracle Access Managerサーバーで使用するusernameとgroupを入力します。これはOracle HTTP Serverをインストールしたユーザーおよびグループと同じにします。usernameとgroupのデフォルト値はnobodyです。たとえば、「oracle/oinstall」と入力します。
「次へ」をクリックします。
Oracle Access Managerサーバーのインストール・ディレクトリを指定します。たとえば、「MW_HOME/oam/webgate」と入力します。
「次へ」をクリックします。
|
注意: Oracle Access Manager Webゲートが次のディレクトリの下の
|
Oracle Access Manager Webゲートが、/u01/app/oracle/product/fmw/oam/webgate/にインストールされます。
accessディレクトリはインストーラによって自動的に作成されます。
GCCランタイム・ライブラリの場所(たとえば、/u01/app/oracle/oam_lib)を指定します。
「次へ」をクリックします。
「インストールの進行状況」画面が表示されます。インストールのプロセスが完了すると、Webゲートの構成画面が表示されます。
「Webゲート構成。」画面で、トランスポート・セキュリティ・モードを指定するように求められます。
アクセス・システムのコンポーネント(ポリシー・マネージャ、アクセス・サーバーおよび関連Webゲート)すべてにおけるトランスポート・セキュリティは一致する必要があります。「オープン・モード」、簡易モードまたは証明書モードを選択します。
簡易モードを選択します。
「次へ」をクリックします。
次の「Webゲート構成。」画面で、次のWebゲート詳細を指定します。
WebゲートID: 第12.6.2項「IDM自動化ツールを使用したOracle Access Managerの構成」で使用されるエージェント名です(例: Webgate_IDM)。
Webゲート用パスワード: エージェントを作成するときにパスワードを入力した場合は、それを入力します。それ以外は空白のままにします。
アクセス・サーバーID: いずれかのOracle Access Managerサーバーの名前です(例: WLS_OAM1)。
ホスト名: いずれかのOracle Access Managerサーバーのホスト名を入力します(例: IDMHOST1)。
グローバル・アクセス・プロトコル・パスフレーズ: OAMサーバーが簡易セキュリティ・トランスポート・プロトコルを使用している場合、これらのサーバーとの対話に使用するグローバル・パスフレーズを指定します。
アクセス・サーバーがリスニングするポート番号: ProxyPort
|
注意: Oracle Access Managerサーバーが使用しているポートを探すには、次のoamconsoleにログインします。
次の手順を実行します。
プロキシ・エントリはホストおよびポート情報を持ちます。 |
「Webサーバーの構成」画面で、「はい」をクリックすると、Webサーバーが自動的に更新されます。その後、「次へ」をクリックします。
次の「Webサーバーの構成」画面で、httpd.confファイルが格納されているディレクトリのフルパスを指定します。httpd.confファイルは、次のディレクトリにあります。
/u01/app/oracle/admin/ohsInstance/config/OHS/ohsComponentName
次に例を示します。
/u01/app/oracle/admin/ohs_instance2/config/OHS/ohs2/httpd.conf
「次へ」をクリックします。
次の「Webサーバーの構成」画面で、Webサーバー構成がWebゲート用に変更されたことを示すメッセージが表示されます。
「次へ」をクリックします。
「Webサーバーの構成」画面に次のメッセージが表示されます。
If the web server is setup in SSL mode, then httpd.conf file needs to be configured with the SSL related parameters. To manually tune your SSL configuration, please follow the instructions that come up.
「次へ」をクリックします。
次の「Webサーバーの構成」画面に、残りの製品設定とWebサーバー構成に関する情報のドキュメントがある場所が表示されます。
「いいえ」を選択して、「次へ」をクリックします。
最後の「Webサーバーの構成」画面で、手動でブラウザを起動してHTMLドキュメントを開きWebサーバーの構成方法を確認することを求めるメッセージが表示されます。
「次へ」をクリックします。
Oracle COREid Readme画面が表示されます。画面上の情報を確認してから、「次へ」をクリックします。
インストールが正常に実行されたことを示すメッセージがインストールの詳細とともに表示されます。
「終了」をクリックします。
MW_HOME/oam/webgate/access/oblix/libディレクトリのファイルObAccessClient.xmlを、第12.6.2項「IDM自動化ツールを使用したOracle Access Managerの構成」で生成されたファイルに置き換えます。
第21章「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Webサーバーを再起動します。
WEBHOST2に対して手順を繰り返します。
アプリケーションでログアウトを可能にするには、ログアウト・ページを作成する必要があります。デフォルト・ページが用意されていますが、それを編集してWEBHOST1およびWEBHOST2上のWebゲートのインストールにコピーする必要があります。
ファイルlogout.htmlを、IDMHOST1のディレクトリDOMAIN_HOME/output/Webgate_IDMから、WEBHOST1およびWEBHOST2のMW_HOME/oam/webgate/access/oamssoにコピーします。
これでWebサーバー上に独自のログアウト・ページが作成されました。デフォルトのエントリは削除する必要があります。
次のディレクトリにあるファイルhttpd.confを編集します。
ORACLE_INSTANCE/config/OHS/component name/
行の先頭に#を付けて、次の行をコメント・アウトします。編集された行は次のようになります。
#*******Default Login page alias*** Alias /oamsso "/u01/app/oracle/product/fmw/webgate/access/oamsso" #<LocationMatch "/oamsso/*"> #Satisfy any #</LocationMatch> #**********************************
ファイルを保存します。
第21章「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Serverを再起動します。
このソフトウェアは、第20.5.3項「WEBHOST1およびWEBHOST2へのOracle WebGateのインストール」の説明に従ってインストールされるまで、パッチを適用することはできません。
次の手順に従って、環境内のWebゲートにパッチを適用します。
Oracle Access Manager OHS11g Webゲートのパッチ12816881をMy Oracle Support(https://support.oracle.com)からダウンロードします。パッチ名は、p12816881_10143_Linux-x86-64.zipです。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、WEBHOST1およびWEBHOST2上のOracle HTTP Server 11gインスタンスを停止します。
p12816881_10143_Linux-x86-64.zipファイルを一時的な場所に解凍します。これにより2つのディレクトリが作成されます。32ビットLinuxの場合、ディレクトリは次のとおりです。
Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate_binary_parameter
Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate_message_en-us
64ビットLinuxの場合、ディレクトリは次のとおりです。
Oracle_Access_Manager10_1_4_3_0_BP10_Patch_linux64_OHS11g_WebGate_binary_parameter
Oracle_Access_Manager10_1_4_3_0_BP10_Patch_linux64_OHS11g_WebGate_message_en-us
ディレクトリをPatchExtractLocation/Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate_binary_parameterに変更します。
パッチはベース・バージョンに適用する必要があるため、既存のパッチはすべてアンインストールします。
既存のパッチの存在を検出するには、次のようにしてバージョン番号を調べます。
ファイルwebgate-install/oblix/config/np1014_wg.txtを開きます。
Versionフィールドを確認します。
Versionの値がベース・バージョンである10.1.4.3.0 M11の場合、パッチは含まれていません。
Versionの値がベース・バージョン以外の場合(パッチが含まれている場合)、次のようにしてパッチをアンインストールします。
Webゲート・インストール内のpatchinstスクリプトがある場所に移動します。次に例を示します。
cd /u01/app/oracle/product/fmw/oam/webgate/access/oblix/patch/10143005BP05/Oracle_Access_Manager10_1_4_3_0_BP05_Patch_linux64_OHS11g_WebGate_binary_parameter/
次のコマンドを実行します。
./patchinst -u
入力を求められたら、Webゲート・インストール領域を指定します。
次のように入力してパッチ・インストール・ツールを起動します。
./patchinst -i InstallDir/access
ここでInstallDirは、Oracle Access Managerサーバーのインストール場所へのパスです。次に例を示します。
/u01/app/oracle/product/fmw/oam/webgate/
これにより、Oracle Access ManagerとOracle Identity Managerの統合に必要なパッチがOracle Access Manager 10.1.4.3.0 Webゲート・インスタンスに適用されます。必要とされる正確なパッチ・レベルは、リリース・ノートを参照してください。
環境内のすべてのWebゲート・インスタンスにこのパッチを適用してください。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WEBHOST1およびWEBHOST2上のOracle HTTP Serverインスタンスを起動します。
次のURLにアクセスして、Webゲートが正しく機能していることをテストできます。
http://admin.mycompany.com/oamconsole
これでOracle Access Managerのログイン・ページが表示されます。OAM管理者ユーザー名(oamadminなど)とパスワードを入力し、「ログイン」をクリックします。すると、OAMコンソールが表示されます。
